Joomla ha partecipato al CMS Security Summit di Google a Chicago

30 Gennaio 2019 - C'è un freddo polare a Chicago oggi e, secondo i notiziari, fa ancora più freddo del Monte Everest - quindi un giorno perfetto per stare all'interno di un caldo edificio, seduti di fronte al proprio computer e partecipare ad un summit!

Google CMS Summit 2019

Il "Joomla Security Strike Team" (JSST) è stato invitato ad inviare una delegazione al CMS Security Summit, organizzato da Google a Chicago. Il leader del JSST David Jardin e Tobias Zulauf hanno colto l'occasione e sono andati in Illinois per incontrare i leader della sicurezza di altri CMS, operatori di hosting e, ovviamente, una serie di dipendenti Google che rappresentano vari progetti ed iniziative dell'azienda.

Avere questo tipo di incontro dal vivo con i colleghi dagli altri CMS (WordPress, TYPO3 e Drupal) e altri player nell'ecosistema (come il leader della sicurezza di Symfony) è stata un'esperienza incredibile per noi. Il lavoro nella sfera della IT-Security è basato sulla "fiducia" in molti modi differenti, quindi incontrare altri esperti di sicurezza, avviare relazioni personali e quindi costruire esattamente quel tipo di fiducia sarà estremamente d'aiuto nel futuro, soprattutto nell'ambito delle comunicazioni cross-project.

Google CMS Summit 2019

Oltre a questi risultati "impliciti", sono state identificate anche varie problematiche concrete con cui tutti gli esperti di sicurezza hanno a che fare e dove la collaborazione tra i vari progetti avrebbe molti benefici per tutti:

  • Filtrare i problemi di sicurezza lato server, in cooperazione con gli operatori di hosting.
  • Costruire progetti CSP-friendly per prevenire gli attacchi XSS.
  • Implementare le ultime funzionalità di sicurezza integrate nei browser come la "Feature Policy" per disabilitare alcune funzionalità nei browser quando non sono usate dal tuo sito.
  • Fare uso dei Cookie SameSite.
  • Avviare un'iniziativa sui requisiti per un meccanismo sicuro di autoaggiornamento.
  • Far progredire standard industriali come PSR-9 (Security Advisory) e PSR-10 (Security Reporting Process).
  • Approfondire la proposta "TrustedTypes" che aiuterebbe a prevenire gli attacchi XSS.

Complessivamente è stato un bell'evento ed un ottimo punto di partenza per garantire più sicurezza agli utenti dei vari progetti coinvolti e per migliorare la collaborazione tra i progetti e le aziende sulla sicurezza del web.

Il progetto vuole ringraziare Google per l'invito e per la perfetta organizzazione, così come gli altri partecipanti per un fantastico summit con moltissime discussioni positive.